前言：

网络安全攻击方式有很多种，其中包含 XSS 攻打、SQL 注入攻打、URL 篡改等。那么 XSS 攻打到底是什么?XSS 攻打有哪几种类型? 明天小编为大家解说一下。

什么是 XSS 攻打?

XSS 攻打又称为跨站脚本，XSS 的重点不在于跨站点，而是在于脚本的执行。XSS 是一种经常出现在 Web 应用程序中的计算机安全漏洞，是因为 Web 应用程序对用户的输出过滤有余而产生的，它容许歹意 web 用户将代码植入到提供给其它用户应用的页面中。

XSS 攻打有哪几种类型?

常见的 XSS 攻打有三种：反射型 XSS 攻打、DOM-based 型 XSS 攻打、存储型 XSS 攻打。

第一种：反射型 XSS 攻打

反射型 XSS 攻打个别是攻击者通过特定手法，诱使用户去拜访一个蕴含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会间接在受害者主机上的浏览器执行。此类 XSS 攻打通常呈现在网站的搜寻栏、用户登录口等中央，罕用来窃取客户端 Cookies 或进行钓鱼坑骗

第二种：DOM-based 型 XSS 攻打

客户端的脚本程序能够动静地检查和批改页面内容，而不依赖于服务器端的数据。例如客户端如从 URL 中提取数据并在本地执行，如果用户在客户端输出的数据蕴含了歹意的 JavaScript 脚本，而这些脚本没有通过适当的过滤或者消毒，那么应用程序就可能受到 DOM-based 型 XSS 攻打。

须要特地留神以下的用户输出源 document.URL、location.hash、location.search、document.referrer 等。

第三种：存储型 XSS 攻打

攻击者当时将恶意代码上传或者贮存到破绽服务器中，只有受害者浏览蕴含此恶意代码的页面就会执行恶意代码。这意味着只有拜访了这个页面的访客，都有可能会执行这段歹意脚本，因而存储型 XSS 攻打的危害会更大。此类攻打个别呈现在网站留言、评论、博客日志等交互处，歹意脚本存储到客户端或者服务端的数据库中。